Re: O que é o comando .dhpcd e como desativá-lo?

3

Atualmente, meu laptop costuma usar alto% de CPU (300%). Notei que .dhpcdestá envolvido em alta% de CPU. Eu poderia matar o processo sem nenhum problema. No entanto, ele liga automaticamente a cada 30 minutos. Estranhamente, o usuário está testdentro top(Veja o anexo). Gostaria de saber o que é, gostaria de saber como corrigi-lo ou desativá-lo completamente (se estiver tudo bem). Estou usando o ubuntu 16.04.5

A imagem é uma captura do topmomento .dhpcdem que estava ligada. captura de tela do topo

cpu-load donghoon
fonte
2
Você instalou um servidor dhcp?
George Udosen
11
Oi donghoon. Qual é a saída de: sudo su teste então whicht .dhpcd?
Boba Fit
Alguns sites parecem listar isso como um processo de bandido.
Doug Smythies
11
Parece suspeito - o nome e os recursos estão errados. Pode ser um cryptominer clássico (ou outro malware) mascarado como um processo do sistema. O dhcp REAL é um pequeno companheiro que apenas gerencia endereços IPV4 locais. Você pode evitar malware como esse praticando hábitos de computação seguros. Removê-lo pode ser fácil ... ou difícil.
user535733
11
Eu pesquisei no google com linux ".dhpcd". Eu acho que é malware e é muito novo.
Doug Smythies

Respostas:

0

Vou sugerir várias coisas:

  1. Desconecte seu sistema da Internet e veja se esse processo ainda é visto na topjanela. Se estiver ausente, o perhpas que alguém ou processo instalado por alguém está usando sua CPU talvez para mineração de dados. Em seguida, tente as etapas abaixo.

  2. Procure-o em:

    • cronjobs

      • sudo crontab -l: procure cronjobs estranhos
    • serviços systemd
      • sudo find / -iname "*dhpc*"

  3. Use tope ps:

    • top:

      1. Iniciar topo

      2. pressione fe use as arrowteclas para mover e selecionar tudo o fieldsque tem a ver com usere / ou useridou idem geral. Veja a captura de tela abaixo.

        insira a descrição da imagem aqui

      3. Use spacebarpara selecionar os campos e pressione qpara sair.

        insira a descrição da imagem aqui

Agora veja o que PPID, SUSER, RUSER, SUIDdiz sobre esse processo. Para rastrear o culpado.

George Udosen
fonte
11
A etapa 2, parte 2, não deveria ser em *dhpc*vez de *dhcp*?
Doug Smythies
Sim, seu direito, deixe-me atualizar isso!
George Udosen
@ Doug Smythies, @ George Udosen: Sim, mudei para *dhpc*.
Donghoon
@ George Udosen, a propósito, .dhpcdnão começou offline. Assim que eu ficar on-line, o processo começou.
Donghoon
Você criou teste de usuário?
George Udosen
0

sudo crontab -lmostrou no crontab for root.

De sudo find / -iname "*dhpc*", encontrei o seguinte:/home/test/.dhpcd

Além disso, a imagem anexada é capturada a partir de top. insira a descrição da imagem aqui

Este é o resultado de `` ls -al ': insira a descrição da imagem aqui

Há um tempo atrás, eu criei a página git apenas para praticar. Algo peixe está acontecendo aqui ..

donghoon
fonte
Qual é o conteúdo de .dhcpd? Qual é o conteúdo de sudo crontab -l -u test? Alguma coisa está provocando isso ...
vidarlo
@vidarlo Acabei de executar seu comando SEM .dhpcdexecutar. A saída é 18 * * * * /home/test/.dhpcd -o ca.minexmr.com:4444 -t3 -B >/dev/null 2>/dev/null. Vou executar seu comando novamente após o .dhpcdinício.
Donghoon
Enquanto .dhpcdestá em execução, a saída é 18 * * * * /home/test/.dhpcd -o ca.minexmr.com:4444 -t3 -B >/dev/null 2>/dev/null Na verdade, é a mesma coisa .. haha ​​.. @vidalo, Você tem mais alguma sugestão? Caso contrário, testexcluirei o usuário como George Udosen sugeriu.
precisa saber é o seguinte
A melhor aposta seria remover a linha do crontab (use crontab -epara editar) e verificar outros arquivos como .bashrc, e remover .dhcpd.
Vidarlo
Você foi comprometido e seu computador está sendo usado para minerar moeda criptográfica. Eu mesmo, eu iria excluir o usuário de teste e todos os seus arquivos: sudo deluser --system --remove-all-files test. No entanto, seu sistema ainda será suspeito.
Doug Smythies
0

Obrigado a todos pela ajuda, especialmente George Udosen e Doug Smythies.

Alguns dos comandos mais práticos foram:

top: Para descobrir qual comando estava levando toda a minha CPU; Eu descobri que .dhpcdestava usando toda a minha CPU. Note que é diferente de dhcpcd.

Pesquisando com linux ".dhpcd": Para aprender o que é ...

sudo find / -iname "*dhpc*": Para descobrir qual diretório continha .dhpcd.

sudo userdel -r test: Para se livrar de um usuário test. Isso ocorreu porque .dhpcdfoi executado por um usuário suspeito chamado test.

sudo deluser --system --remove-all-files test: Para remover todos os arquivos criados por um usuário test.

Finalmente, reiniciei meu laptop, e o problema acabou.

Observe que não lembro se havia criado o usuário test. Como não uso a conta, excluí tudo relacionado a ela. Agora eu sei se o problema teria sido resolvido excluindo apenas .dhpcd.

donghoon
fonte